【インターネットに公開しているサービス特有の攻撃とその対処方法(4)】(東陽テクニカ) | ScanNetSecurity
2024.04.25(木)

【インターネットに公開しているサービス特有の攻撃とその対処方法(4)】(東陽テクニカ)

<FTPサービスにおける注意点と攻撃例>

特集 特集
facebookLINE
<FTPサービスにおける注意点と攻撃例>

 FTP はインターネット・サービスとしては歴史が古く、不正利用されることの最も多いサービスでもある。FTP サービスが受ける侵入として最も一般的なものは、単に違法コピー・ソフトウェアなどの置き場所として利用されることだ。 FTPサイトでは、外部のユーザが同一ディレクトリ 読み書きを両方行えるような設定を決して行わないこと。また、anonymousの書き込み許可は絶対にしてはいけない。基本的なディレクトリ(フォルダ)設定やユーザ設定に関してはWeb同様のセキュリティチェックリストやセキュリティ情報を参照するとよいだろう。

・FTPサービスへの代表的な攻撃

(1)Bounceアタック
 誤って設定されたFTP サーバを利用する古典的なネットワーク・アタックの1つです。FTPサーバのすべての管理者は、この攻撃のしくみを理解しておく必要があります。The FTP Bounce Attack( http://www.insecure.org/nmap/hobbit.ftpbounce.txt
(2)無効なPORTコマンド
 PORTコマンドを利用した侵入の試行があるが、現在のFTPサービスではこの攻撃はほぼ無効。

(3)FTP PORT の制約
 FTPのPORTコマンドを使って、よく知られているポート番号へのFTP転送が設定された状態。通常、不正なファイル転送が試みられている場合がある。

(4)FTP CWD ~root コマンド
 FTPサーバの旧バージョンにあるバグの一つ。これにより/etc/passwdなどを引き出すことが可能である。

(5)FTP SITE EXEC コマンド
 wu-ftpdの2.2より古いバージョンには、脆弱点があり、ハッカーやクラッカーがこれを利用してプログラムを実行できる。

(6)FTP 非常に長いユーザ名
 ユーザ名フィールドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。

(7)FTP 非常に長いパスワード
 パスワードフィールドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。

(8)FTP 非常に長い CWD 先のディレクトリ名:
 CWDコマンドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。

(9)FTP 非常に長いファイル名
 ファイル名フィールドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。

(10)FTP 非常に長いコマンド行
 異常に長いコマンド使い、故意に”バッファ・オーバフロー”を起こそうとしている。

 FTPは多くのコマンドを受け付けるため、古いサーバアプリケーションにはほとんどといってよいほど、バッファ・オーバフローの脆弱性を持っている。最新のソフトウェアには数は少なくなってきたが、それでもまだ若干残っているし、潜在的なものも残っているはずである。
FTPバッファ・オーバフローに関してはCERTを参照するとよいだろう。
http://www.cert.org/advisories/CA-1999-03.html

 FTPに関する情報は、使っているOSやアプリケーションによってその機能、対策が大きくことなってしまうため、それぞれのアプリケーションサイトの情報を確認するとよい。

wu-ftpd http://www.landfield.com/wu-ftpd/
Linuxなどので多く使われているwu-ftpdの情報

IIS http://www.microsoft.com/JAPAN/technet/security/
マイクロソフトのセキュリティ情報

<syslogに関して>

 アクセスログは必ず取っておくこと。できるなら内部のマシンからそのデータを吸い上げ、サーバ内で保管されているものはあてにしないようにしたほうがよいだろう。高度なハッカーは完全に手中にしたサーバのログを、その痕跡が残らないように自分の情報だけを削除してから保存ということも行うため、書き換えられる前に別の場所で保存しておくのがよい。


米NetworkICE社 ホームページ:
http://www.networkice.com/
advICE(英語)ページ:
http://advice.networkice.com/Advice/default.htm

(株)東陽テクニカ セキュリティホームページ:
http://www.toyo.co.jp/security/index.html
advICE(日本語)ページ:
http://www.toyo.co.jp/security/ice/advice/

(株)東陽テクニカ
情報通信システム部 セキュリティグループ
安食 覚

詳しくはScan本誌でご覧下さい
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  6. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  7. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

  8. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  9. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  10. LINE client for iOS にサーバ証明書の検証不備の脆弱性

    LINE client for iOS にサーバ証明書の検証不備の脆弱性

ランキングをもっと見る
ホーム 特集 特集 記事
TOP